原文地址:http://resources.infosecinstitute.com/linux-and-disk-forensics/
数据取证调查通常由5步组成:
识别
数据获取
数据恢复
分析
报告
数据取证专用系统BackTrack, FIRE, Knoppix-STD, Linux LEO, Penguin Sleuth
我们将使用的工具
获取镜像: Dd, DdRescue, dc3dd, Aimage
数据恢复工具: Foremost, Magic Rescue,SafeCopy
取证分析工具: bulk_extractor, Miss Identify, RegLookup, readpst
取证工具套件: Autopsy, Sleuth Kit, PTK
在根目录下创建取证文件夹:
mkdir /evidence
创建一个用于分析的文件夹
mkdir /mnt/investigation
在这里,我们将会挂载外部数据来进行调查。
获取镜像
使用dd命令来获得镜像
dd if=<media/partition on a media> of=<image_file>
例如
dd if=/dev/sdc of=image.dd
这里我们获得sdc硬盘的镜像,保存为image.dd。
针对本文,我们将使用开源测试样本。例如
http://dftt.sourceforge.net/ ,
http://pyflag.sourceforge.net 或
http://linuxleo.com/。下载镜像到evidence文件夹中
我使用的镜像是通过
dd if=/dev/sdc of=pyflag_stdimage_0.1
命令获得的。
下载完镜像后,copy到空的磁盘上,我们以后还会需要它:
dd if=pyflag_stdimage_0.1 of=/dev/fd0
现在我们有了两份镜像,一份在/evidence,一份在磁盘上。
镜像分析:
把镜像mount到/investigation文件夹中
mount -o ro,noexec,loop pyflag_stdimage_0.1 /mnt/investigation
‘ro’ 和 ‘noexec’表明文件用只读和非执行方法挂载
现在切换到/mnt/investigation文件夹,可以看到系统镜像
把文件列表导入到一个文件,用于分析文件和他们的属性
通过这个列表可以搜索指定文件名,例如txt
grep txt ListOfFiles
使用find命令来检查文件类型
find. -type f -exec file {} ; > /evidence/TypeOfFile
从下图可以看到,我们发现了一个rootkit
来看看文件内容,DonVittos_private_key.txt含有DSA私钥。
看看其他文件夹,例如Document and Settings,Document and Settings/ Administrator/ Local Settings中的index.dat文件记录访问过的site。我们找到更有意思的文件,Document and Settings/ Administrator/文件夹下的outlook.pst 文件。它可能给我们更多信息。我们使用readpst工具:readpst用来将pst文件转换成mbox格式,从而可以使用各种mail软件来查看,修改。
readpst -D outlook.pst
-D表明包含在output中删除的内容
从而创建了几个文件夹,Inbox, Sent Items, MailBox, Deleted Items
现在这些文件夹中的mbox可以使用任何mail客户端来查看。我使用KMail来打开。其中一个邮件说道:
我们可以查看附件。现在我们坚持发件箱:
我们可以看到文件内容:
把邮件放到Evidence文件夹:
readpst -D outlook.pst -o /evidence/MailsEvidence
数据恢复
Autopsy用来分析磁盘镜像,帮助你浏览文件内容以及恢复数据。甚至有能力恢复删除的文件。
创建一个新的case,在第二步提供case name,描述和调查者的名字。第三步添加一个host。第四步,需要给出镜像的路径。接下来几步,它会要求你选择文件系统和分区等。点击Analyze,出现下图
File AnalysisFile Analysis允许你浏览整个文件系统。Keyword Search用于在文件系统中搜索指定的关键字。File Type允许你查看allocated和unallocated文件。Image Details告诉你文件系统的结构,大小和其他元数据。Meta Data给出inode的信息。Data Unit显示fragment的内容。我们对File Analysis感兴趣。
现在我们可以浏览整个文件系统中的文件。蓝色表示存在的文件,红色表示删除的文件。点击他们来查看内容。
- 大小: 68.4 KB
- 大小: 24 KB
- 大小: 39.4 KB
- 大小: 23.5 KB
- 大小: 49.2 KB
- 大小: 18.3 KB
- 大小: 53.9 KB
- 大小: 140.5 KB
- 大小: 39 KB
- 大小: 42.5 KB
- 大小: 41.6 KB
- 大小: 52.6 KB
- 大小: 144.3 KB
分享到:
相关推荐
Linux取证技术是信息安全领域的一个重要分支,主要针对Linux操作系统环境下的犯罪或安全事件进行调查和分析。本PPT演示稿将深入探讨这一主题,旨在帮助读者理解和掌握在Linux环境中进行有效的电子证据收集、分析和...
在Linux取证中,Python允许开发者快速构建强大的脚本和应用,处理各种数据格式,如日志文件、系统调用跟踪等。 2. **Flask框架**: Flask是一个轻量级的Web服务器和应用程序框架,用于构建Web应用。在这里,它可能被...
linux服务器取证思路.md
linux入侵取证
Linux系统使用命令大全。
"LINUX系统下的计算机取证技术研究" 计算机取证技术是指在计算机系统中收集、分析和恢复电子证据的过程。随着计算机技术的发展,计算机犯罪案件也日益增加,计算机取证技术因此变得越来越重要。 在LINUX系统下,...
基于Rootkit隐藏行为特征的Linux恶意代码取证方法可以分为五个主要部分:Rootkit的行为和实现技术研究、Rootkit启动机制和内存驻留机制研究、恶意代码行为特征提炼、基于Rootkit隐藏行为特征的Linux恶意代码取证方法...
总之,Volatility是Linux计算机取证中不可或缺的工具,它能够深入系统内存,揭示隐藏的行为和敏感信息,为安全专家和法医调查人员提供关键线索。通过掌握和熟练使用Volatility,可以在网络安全防御和犯罪调查中发挥...
Kali Linux数字取证工具集是一系列专门针对电子取证工作的软件工具集合,这些工具广泛应用于计算机安全领域,尤其是在制作镜像、分析文件、提取数据等方面。Kali Linux是一个基于Debian的Linux发行版,专门设计用于...
"Linux内核进程隐藏技术在动态取证中的应用.pdf" 本文档讨论了Linux内核进程隐藏技术在动态取证中的应用。动态取证是指在系统正常运行的状态下,获取目标主机中的所有数据,以重构实际的犯罪事实。该技术可以用于...
总之,基于Linux系统的数字取证研究,特别是针对Ext4文件系统的取证算法,是现代网络安全和法律调查领域的一个重要方向。通过对Ext4文件系统的深入理解和取证技术的研发,我们可以更有效地挖掘和保护数字证据,为...
【基于Linux的动态取证策略】 计算机取证是信息安全领域的重要研究方向,特别是在面对网络犯罪日益复杂化、隐蔽化的背景下,电子证据已经成为法庭上重要的证据形式。Linux操作系统由于其开放源码和广泛的应用,成为...
Linux中时间戳取证研究 Linux操作系统中,文件的时间戳是文件系统对文件发生变化的记录,包括创建时间、最后修改时间和删除时间。掌握文件时间戳的更新情况至关重要,因其可以直接用于还原案件发生的过程,是取证...
Linux 环境下的计算机取证工具介绍 计算机取证是计算机安全领域的一个新热点,指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合同法律规范的方式进行识别、保存、分析和提交数字证据的...
Tracee是Linux的运行时安全和取证工具。 它使用Linux eBPF技术在运行时跟踪您的系统和应用程序,并分析收集的事件以检测可疑的行为模式。 Tracee:使用eBPFLinux运行时安全和取证工具Tracee是Linux的运行时安全和...